2K3R2 - FRSDiag diverse Fehler

[InformatikKFM]

Hallo,

stecke gerade mitten in den Vorbereitungen für eine Exchange-Umgebung. Leider gibt es im Active Directory zur Zeit noch ein paar Probleme, die sich dahin auswirken, dass das SYSVOL nicht ordnungsgemäß repliziert wird. Alles Andere (Benutzer, etc.) funktioniert ohne Probleme. Nun habe ich das AD schon per DCDIAG /E und NETDIAG ueberprueft. Diese Tools haben keine Fehler festgestellt.

Mittels FRSDIAG hab ich alle Domänen-Controller überprüfen lassen, die Logdatei zeigt nun in jeder den Logdateien von jedem DC folgenden Fehler:

Checking Overall Disk Space and SYSVOL structure (note: integrity is not checked)...Could not check because could not access system share on auth-srv-01... ......... failed 1

ERROR: 109,09% (24 out of 22) of your outlog contains Security ACL events. See KB articles below for further information: 279156 - The Effects of Setting the File System Policy on a Disk Drive or Folder 284947 - Antivirus Programs May Modify Security Descriptors and Cause Excessive Replication of FRS Data in Sysvol and DFS ......... failed

Checking Overall Disk Space and SYSVOL structure (note: integrity is not checked)... ERROR: Junction Point missing on "c:\w2k3srv\sysvol\sysvol" ERROR: Junction Point missing on "c:\w2k3srv\sysvol\staging areas" ......... failed 2

Checking for errors in debug logs ... ERROR on NtFrs_0001.log : "ERROR_ACCESS_DENIED" : <SndCsMain: 6872: 904: S0: 12:30:23> :SR: Cmd 0116c000, CxtG c1128210, WS ERROR_ACCESS_DENIED, To auth-srv-01.xxx-dom.local Len: (410) [SndFail - Send Penalty] ERROR on NtFrs_0001.log : "ERROR_ACCESS_DENIED" : <SndCsMain: 6872: 877: S0: 12:30:23> :SR: Cmd 0116b388, CxtG 029b4c9e, WS ERROR_ACCESS_DENIED, To auth-srv-01.xxx-dom.local Len: (388) [SndFail - rpc call] ERROR on NtFrs_0001.log : "ERROR_ACCESS_DENIED" : <SndCsMain: 6872: 904: S0: 12:30:23> :SR: Cmd 0116b388, CxtG 029b4c9e, WS ERROR_ACCESS_DENIED, To auth-srv-01.xxx-dom.local Len: (388) [SndFail - Send Penalty] Found 166 ERROR_ACCESS_DENIED error(s)! Latest ones (up to 3) listed above ......... failed with 166 error entries

Checking Overall Disk Space and SYSVOL structure (note: integrity is not checked)... ERROR: Junction Point missing on "\\srvro-dc01\c$\windows\sysvol\sysvol" ERROR: Junction Point missing on "\\srvro-dc01\c$\windows\sysvol\staging areas" ......... failed 2

Woran könnte das liegen? Was ich vielleicht noch dazusagen muss ist, dass der ehemalige Administrator damals einen Domänen-Controller (ohne ihn vorher ordnungsgemäß aus dem AD zu entfernen) mit dem selben Namen und IP neuinstalliert hat. Außerdem hatten die Server bis gestern keine richtige Administrative-Freigabe, die wurde entfernt.

Das habe ich gestern erst wieder behoben.

[dmetzger]

How to rebuild the SYSVOL tree and its content in a domain

[InformatikKFM]

Das hab ich schon durch, dann hat er einmal das SYSVOL ordnungsgemäß repliziert und jeder DC war auf dem selben Stand, nur dann fing das Chaos wieder von vorne an ..

[dmetzger]

Zitat von InformatikKFM Das hab ich schon durch,

Ok, dann erwähne bitte in Zukunft, welche Massnahmen Du bereits durchgespielt hast. Dann muss ich Dich nicht mit Tipps langweilen, die Du schon kennst.

Zitat von InformatikKFM dann hat er einmal das SYSVOL ordnungsgemäß repliziert und jeder DC war auf dem selben Stand, nur dann fing das Chaos wieder von vorne an ..

Was heisst das genauer?

[InformatikKFM]

Ohh, tschuldigung. Ich dachte, ich haette in diesem Thread auch reingeschrieben, dass ich ein auth. Restore schon durchgefuehrt habe. Aber das war in dem anderen. Sorry.

Naja, nach dem auth. Restore war jeder SYSVOL auf dem selben Stand. Dann habe ich auf einem DC die GPO angepasst und diese wurde nicht repliziert und die Fehler tauchten in der EventLog wieder auf.

[InformatikKFM]

Ich hab nochmal die IP-Konfiguration angehängt:


ipconfig vom auth-srv-01:

Windows 2000-IP-Konfiguration Hostname. . . . . . . . . . . . . : auth-srv-01 Prim„res DNS-Suffix . . . . . . . : xxx.local Knotentyp . . . . . . . . . . . . : Hybridadapter IP-Routing aktiviert. . . . . . . : Ja WINS-Proxy aktiviert. . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : xxx.local Ethernetadapter "Netzwerkkarte_alterKreis": Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter Physikalische Adresse . . . . . . : 00-0C-29-5E-A8-40 DHCP-aktiviert. . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 125.13.74.182 Subnetzmaske. . . . . . . . . . . : 255.0.0.0 IP-Adresse. . . . . . . . . . . . : 10.1.0.182 Subnetzmaske. . . . . . . . . . . : 255.255.0.0 Standardgateway . . . . . . . . . : 10.1.0.2 DNS-Server. . . . . . . . . . . . : 10.1.0.119 10.1.0.182

ipconfig vom zweiten (ehemals kaputten dc):

Windows-IP-Konfiguration Hostname . . . . . . . . . . . . : xxx-srv01 Primäres DNS-Suffix . . . . . . . : xxx.local Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert . . . . . . : Nein WINS-Proxy aktiviert . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : xxx.local Ethernet-Adapter Netzwerkkarte links: Verbindungsspezifisches DNS-Suffix: Beschreibung . . . . . . . . . . : Intel(R) PRO/1000 PM Network Connection Physikalische Adresse . . . . . . : 00-30-48-8B-B6-66 DHCP aktiviert . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 125.13.74.3 Subnetzmaske . . . . . . . . . . : 255.0.0.0 IP-Adresse. . . . . . . . . . . . : 10.1.0.101 Subnetzmaske . . . . . . . . . . : 255.255.0.0 Standardgateway . . . . . . . . . : 10.1.0.2 DNS-Server . . . . . . . . . . . : 10.1.0.119 10.1.0.182

ipconfig vom neuen 2008er dc:

Windows-IP-Konfiguration Hostname . . . . . . . . . . . . : SRVRO-DC01 Prim„res DNS-Suffix . . . . . . . : xxx.local Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert . . . . . . : Nein WINS-Proxy aktiviert . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : xxx.local Ethernet-Adapter LAN-Verbindung: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Intel(R) PRO/1000 MT-Netzwerkverbindung Physikalische Adresse . . . . . . : 00-50-56-AA-43-A8 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja Verbindungslokale IPv6-Adresse . : fe80::2162:d965:fc38:5b21%11(Bevorzugt) IPv4-Adresse . . . . . . . . . . : 10.1.0.119(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.255.0.0 Standardgateway . . . . . . . . . : 10.1.0.2 DHCPv6-IAID . . . . . . . . . . . : 234901590 DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-16-6D-3E-4A-00-50-56-AA-43-A8 DNS-Server . . . . . . . . . . . : ::1 10.1.0.119 10.1.0.182 NetBIOS �ber TCP/IP . . . . . . . : Aktiviert

[InformatikKFM]

Was mich stutzig macht sind folgende Fehler:

for errors in debug logs ... ERROR on NtFrs_0001.log : "ERROR_ACCESS_DENIED" : <SndCsMain: 4684: 877: S0: 16:05:36> :SR: Cmd 015aae40, CxtG 251caa79, WS ERROR_ACCESS_DENIED, To SRVRO-DC01.xxx.local Len: (412) [SndFail - rpc call] ERROR on NtFrs_0001.log : "ERROR_ACCESS_DENIED" : <SndCsMain: 4684: 904: S0: 16:05:36> :SR: Cmd 015aae40, CxtG 251caa79, WS ERROR_ACCESS_DENIED, To SRVRO-DC01.xxx.local Len: (412) [SndFail - Send Penalty] ERROR on NtFrs_0001.log : "RPC_S_CALL_FAILED_DNE(Indicates RPC Session was established to target, but there was a failure to send RPC call package. Check for Networking problems!)" : <FrsDsGetName: 2868: 4580: S0: 16:02:10> S: ERROR - DsCrackNames(cn=auth-srv-01,ou=domain controllers,dc=xxx,dc=local, 00000002); WStatus: RPC_S_CALL_FAILED_DNE Found 2 ERROR_ACCESS_DENIED error(s)! Latest ones (up to 3) listed above Found 1 RPC_S_CALL_FAILED_DNE error(s)! Latest ones (up to 3) listed above

(Sorry, konnte nur max. 4000 Zeichen in einem Post!)

[InformatikKFM]

Ok, es wird immer interessanter.

Ich habe heute noch rausgefunden, dass der auth-srv-01 damals mittels dem VMWare-Converter in eine VM konvertiert wurde. Das ist ja auch nicht supported.
Zusätzlich wurde der andere DC, wie ja shcon beschrieben, einfach mal drueberinstalliert ohne vorher us der AD zu nehmen.

Ich wuerde jetzt die Rollen auf den neuen 2008er DC verschieben und dann beide anderen / korrupten DCs depromoten.

Ich hoffe, dass sich damit die Probleme erledigt haben ?

[InformatikKFM]

Guten Abend,

das Problem ist behoben. Ich hatte ja vom DC geschrieben, der einfach in eine VM gepackt wurde. Und vom zweiten DC, der einfach drueberinstalliert wurde. Die beiden DCs existieren nun nicht mehr in der Domäne und wurden durch einen 2008er DC (VM) und einen zweiten 2008er DC (Hardware) ersetzt. Und das AD laeuft nun seit der Umstellung problemlos. :-)